深入理解eBPF與可觀測性

定　價：￥99.00

作　者：	毛文安鄭昱笙程書意廖肇燕
出版社：	機械工業(yè)出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

當當網 (￥74.20)

ISBN：	9787111774808	出版時間：	2025-03-01	包裝：	平裝-膠訂
開本：	16開	頁數：		字數：

內容簡介

　　本書由龍蜥社區(qū)操作系統及eBPF專家聯合撰寫，帶領讀者一次性學透eBPF原理與Linux可觀測性，讓性能與安全問題無所遁形，效果立竿見影。具體來說，本書系統介紹eBPF技術生態(tài)、特性、五大主流開發(fā)框架，并深度剖析應用、網絡、內存、I/O、調度、安全六大關鍵Linux可觀測性實踐。本書共9章，從邏輯上分為兩部分。第一部分為eBPF基礎（第1～3章）：第1章概述eBPF技術的發(fā)展歷程和應用場景；第2章深入解析eBPF的指令集、輔助函數及程序類型設計原理；第3章介紹如何使用libbpf、BCC、eunomia-bpf、Coolbpf等工具開發(fā)eBPF程序，尤其是BTF和CO-RE技術的應用。第二部分為eBPF可觀測性實踐（第4～9章），第4章探討eBPF在用戶態(tài)應用層面的可觀測實踐，如Java應用的GC觀測；第5章講解內核網絡收發(fā)包流程及使用eBPF分析網絡抖動的方法；第6章介紹內存性能瓶頸的優(yōu)化方法，包括使用eBPF檢測內存分配延遲和內存泄漏；第7章分析I/O子系統的原理和性能瓶頸點，并介紹使用eBPF監(jiān)測I/O延遲分布和I/O卡頓問題；第8章介紹eBPF在調度系統上的觀測實踐，包括長時間關中斷和持續(xù)性能追蹤等；第9章則聚焦于eBPF在系統安全上的實踐，如使用LSM進行安全防御、監(jiān)控進程的各種行為等。

作者簡介

　　毛文安：阿里云高級技術專家，龍蜥社區(qū)eBPF技術探索SIG（特別興趣小組）及“酷玩BPF”公眾號負責人，龍蜥社區(qū)“eBPF技術實踐白皮書”主要作者，也是系統智能運維平臺SysOM以及eBPF開發(fā)功能庫Coolbpf的架構師。具有十余年Linux操作系統開發(fā)、維護及性能調優(yōu)經驗，目前專注內核網絡、AI等新特性的研究與實踐。鄭昱笙：開源維護者、UCSC博士生、eunomia-bpf開源社區(qū)共同創(chuàng)辦人。主導開發(fā)了bpftime（用戶態(tài)eBPF運行時）等項目，拓展了eBPF在用戶態(tài)的應用，目前積極探索eBPF在大模型（LLM）推理優(yōu)化等領域的潛在應用。長期活躍于開源社區(qū)，并多次擔任KubeCon、Linux Plumber等知名會議的演講者。程書意：阿里云開發(fā)工程師，龍蜥社區(qū)eBPF技術探索SIG核心成員，Coolbpf項目維護者，龍蜥社區(qū)“eBPF技術實踐白皮書”作者之一。專注于內核網絡優(yōu)化與eBPF技術，擅長系統性能調優(yōu)和故障排查，熱衷技術分享與推廣。廖肇燕：阿里云技術專家、龍蜥社區(qū)“eBPF技術實踐白皮書”作者之一。擁有十余年Linux開發(fā)運維經驗，專注于內核問題深度定位與eBPF技術創(chuàng)新性應用推廣，擅長系統穩(wěn)定性問題定位和性能優(yōu)化。

圖書目錄

Contents　目　　錄
前言
第1章　eBPF的發(fā)展與應用1
1.1　eBPF概述1
1.1.1　Linux的跟蹤與診斷技術簡介1
1.1.2　eBPF的發(fā)展史3
1.1.3　eBPF與cBPF的功能區(qū)別4
1.1.4　eBPF與內核模塊5
1.1.5　eBPF的優(yōu)勢與劣勢5
1.2　eBPF應用場景6
1.2.1　eBPF跟蹤與性能分析7
1.2.2　eBPF與可觀測8
1.2.3　eBPF與網絡14
1.2.4　eBPF與安全14
1.3　eBPF基礎架構16
1.3.1　eBPF加載流程和相關組件17
1.3.2　eBPF的JIT編譯原理18
1.3.3　eBPF的掛載與執(zhí)行22
1.4　本章小結22
第2章　eBPF的特性解析23
2.1　eBPF指令架構23
2.1.1　cBPF指令集24
2.1.2　eBPF指令集25
2.1.3　使用C語言編寫eBPF程序34
2.1.4　使用匯編語言編寫eBPF程序35
2.1.5　使用字節(jié)碼編寫eBPF程序37
2.2　eBPF系統調用40
2.2.1　eBPF系統調用的函數原型40
2.2.2　eBPF系統調用的類型40
2.2.3　eBPF系統調用的數據
　　　結構解析41
2.3　eBPF輔助函數43
2.3.1　eBPF輔助函數的設計43
2.3.2　eBPF輔助函數的實現47
2.4　eBPF程序類型設計49
2.4.1　eBPF程序類型49
2.4.2　驗證器接口設計51
2.4.3　測試接口設計52
2.4.4　卸載接口設計53
2.5　跟蹤診斷類eBPF程序54
2.5.1　kprobe/kretprobe類程序55
2.5.2　uprobe/uretprobe類程序58
2.5.3　tracepoint類程序60
2.5.4　perf事件類程序63
2.6　網絡處理類：XDP程序66
2.6.1　XDP基本原理67
2.6.2　XDP應用場景68
2.6.3　XDP內核解析69
2.7　本章小結73
第3章　eBPF開發(fā)框架74
3.1　libbpf74
3.1.1　使用libbpf開發(fā)eBPF程序75
3.1.2　BPF類型格式79
3.1.3　CO-RE功能82
3.2　BCC85
3.2.1　環(huán)境配置86
3.2.2　使用BCC開發(fā)eBPF程序88
3.2.3　編譯運行90
3.3　bpftrace90
3.3.1　環(huán)境配置91
3.3.2　使用bpftrace開發(fā)eBPF程序92
3.3.3　編譯運行95
3.4　eunomia-bpf96
3.4.1　環(huán)境配置97
3.4.2　使用eunomia-bpf?開發(fā)
　　　eBPF程序98
3.4.3　編譯運行100
3.5　Coolbpf?100
3.5.1　環(huán)境配置102
3.5.2　使用Coolbpf開發(fā)eBPF
　　　程序102
3.5.3　編譯運行103
3.6　eBPF開發(fā)框架對比104
3.7　本章小結105
第4章　基于eBPF的應用
　　　　可觀測實踐106
4.1　使用uprobe/USDT觀測應用程序106
4.1.1　uprobe：用戶空間的動態(tài)
　　　追蹤工具106
4.1.2　USDT：用戶空間的靜態(tài)
　　　追蹤點技術108
4.2　Nginx函數延遲觀測與性能分析109
4.2.1　基于eBPF分析函數延遲110
4.2.2　Nginx中與性能相關的
　　　關鍵函數113
4.2.3　測試Nginx的函數延遲115
4.3　Java應用的GC觀測116
4.3.1　GC策略簡介與問題
　　　排查示例116
4.3.2　通過eBPF實現GC觀測117
4.4　MySQL慢查詢監(jiān)測與排障實踐123
4.4.1　慢查詢的常見原因124
4.4.2　慢查詢監(jiān)測方法與示例場景124
4.4.3　利用bpftrace程序追蹤
　　　MySQL查詢126
4.5　觀測SSL/TLS明文數據128
4.5.1　TLS的工作原理128
4.5.2　OpenSSL API工作機制分析129
4.5.3　sslsniff的eBPF內核
　　　代碼編寫130
4.5.4　sslsniff的用戶態(tài)代碼分析135
4.5.5　編譯與運行sslsniff工具138
4.6　使用eBPF跟蹤Go協程狀態(tài)139
4.6.1　跟蹤Go協程狀態(tài)的eBPF
　　　內核代碼140
4.6.2　運行eBPF程序追蹤Go
　　　協程狀態(tài)141
4.7　本章小結142
第5章　基于eBPF的網絡
　　　　可觀測實踐143
5.1　內核網絡協議棧143
5.1.1　網絡發(fā)包流程143
5.1.2　網絡收包流程159
5.1.3　內核網絡抖動問題分析168
5.2　網絡可觀測實踐172
5.2.1　HTTP流量統計172
5.2.2　TCP連接信息和往返
　　　時間分析179
5.2.3　XDP實現可編程包處理187
5.2.4　基于eBPF的流量控制實踐189
5.2.5　基于sockmap進行數據轉發(fā)192
5.2.6　基于sockops監(jiān)測服務
　　　響應延遲205
5.2.7　Virtio網卡隊列可觀測213
5.3　本章小結218
第6章　基于eBPF的內存
　　　　可觀測實踐219
6.1　系統內存的申請流程219
6.2　內存性能瓶頸點與解決思路222
6.2.1　常見的內存性能瓶頸222
6.2.2　內存性能瓶頸診斷方法225
6.3　實戰(zhàn)：頁面錯誤監(jiān)控227
6.3.1　什么是頁面錯誤227
6.3.2　有關頁面錯誤的跟蹤點228
6.3.3　頁面錯誤事件可觀測
　　　實現方案229
6.4　實戰(zhàn)：使用cachetop分析
　　文件緩存233
6.4.1　使用常規(guī)方法分析文件緩存233
6.4.2　cachetop實現原理234
6.4.3　c